兩名電腦駭客30日宣稱，開放原始碼Firefox瀏覽器處理JavaScript的方式有一項嚴重漏洞。

Mischa Spiegelmock和Andrew Wbeelsoi在ToorCon駭客會議上表示，攻擊者只要製作一個內含若干惡意JavaScript程式碼的網頁，便可透過Firefox控制遠端電腦。該漏洞影響Windows、蘋果Mac OS X和Linux各版的Firefox。

在部落格公司SixApart擔任正職的Spiegelmock表示：「大家都知道，IE不怎麼安全，但Firefox也非常不保險。」他詳細說明該漏洞，展示相關攻擊碼的各個重要部分。

問題主要出在Firefox執行JavaScript指令語言的方式。Spiegelmock表示，尤其是有不同的程式編寫技巧能造成stack overflow錯誤。他說，Firefox的執行是「一團混亂…根本不可能修補」。

看過當天會場的錄影後，Mozilla安全主管Window Snyder承認，JavaScript問題是個真正的弱點。她說：「他們所說的可能是一種舊型攻擊的變種，我們會進行一些調查。」 Snyder不樂見這麼明顯的威脅在會議上大肆曝光，她說：「看來他們擁有足夠的訊息讓攻擊者複製。我認為這是不幸的，因為使用者會陷入危險，而那似乎是他們的目的。」

另一方面，他們的說明或許也給Mozilla足夠的資料修補該漏洞。然而，由於問題出在JavaScript，解決方法可能比一般性的修補困難。 Snyder說：「如果問題出在JavaScript虛擬器，就無法很快解決。」兩名駭客宣稱他們知道約30個Firefox漏洞，但不打算公佈。

參加該會議的Mozilla安全職員Jesse Ruderman，曾嘗試上台說服兩名駭客以負責任的方式揭露安全漏洞，也就是透過Mozilla的抓錯獎金計畫，而非惡意地幫助疆屍網路的建立。 Ruderman說：「我真心希望你們改變主意，把漏洞通報我們然後領取500美元獎金，而不是用它們建立疆屍網路。」

兩名駭客對此一笑置之，Wbeelsoi說：「這是一把雙面刃，但我們所做的對整個網路有更大的好處，我們要為黑帽建立通訊網路。」

來源google news 2006/10/2
http://news.google.com/news?ned=tw&ncl= ... l&hl=zh-TW